SolarWinds आक्रमणको पछाडिको समूह नोबेलियमसँग अझै पनि उन्नत ह्याकिङ क्षमताहरूको ठूलो हतियार छ। यो हालैको अध्ययनमा Mandiant का सुरक्षा विशेषज्ञहरूको निष्कर्ष हो। यी -शायद राज्य-समर्थित-ह्याकरहरूको खतरा अझै पार भएको छैन।
एक वर्ष पहिले, नोबेलियम ह्याकरहरूले अमेरिकी सुरक्षा विशेषज्ञ सोलारविन्ड्स ह्याक गर्न सफल भए। पछि, यस सुरक्षा विशेषज्ञका धेरै ग्राहकहरू ह्याक गरियो, लगभग 18,000, माइक्रोसफ्ट र अमेरिकी सरकार पनि। यो सबै यसको परिणाम संग।
ह्याकरहरूको पृष्ठभूमिमा थप अनुसन्धानले पत्ता लगायो कि नोबेलियम ह्याकरहरूले कुनै देशबाट सहायता प्राप्त गरेको शंकास्पद छ। यो सायद रूस हो।
नोबेलियम यसको उन्नत रणनीति, प्रविधि र प्रक्रियाहरूका लागि सबैभन्दा राम्रोसँग परिचित छ, जसलाई TTP पनि भनिन्छ। तिनीहरूका पीडितहरूलाई एक-एक गरेर आक्रमण गर्नुको सट्टा, तिनीहरू एक कम्पनी छनोट गर्न रुचाउँछन् जसले धेरै ग्राहकहरूलाई सेवा दिन्छ। पछिल्लो कम्पनीमा ह्याक मार्फत, ह्याकरहरूले एक प्रकारको 'मास्टर कुञ्जी' खोज्छन् जसले ग्राहकहरूको लागि ढोका 'खोल्छ'।
अनुसन्धान Mandiant
Mandiant को अनुसन्धानले देखाउँछ कि नोबेलियम, र दुई ह्याकर समूह UNC3004 र UNC2652 जो यस ह्याकिङ समूहका भाग हुन्, तिनीहरूको TTP गतिविधिहरू थप सिद्ध भएका छन्। विशेष गरी आक्रमणको लागि cloud विक्रेताहरू र MSPs अझ बढी व्यवसायहरूमा पुग्न।
ह्याकरहरूको नयाँ प्रविधिहरू अन्य ह्याकरहरूको जानकारी-चोरी मालवेयर अभियानहरू मार्फत प्राप्त प्रमाणहरूको प्रयोग हो। यससँगै नोबेलियम ह्याकरहरूले पीडितहरूलाई पहिलो पहुँच खोजे। ह्याकरहरूले संवेदनशील इमेल डाटा "फसल" गर्न अनुप्रयोग प्रतिरूपण विशेषाधिकार भएका खाताहरू पनि प्रयोग गरे। ह्याकरहरूले उपभोक्ताहरूका लागि दुवै IP प्रोक्सी सेवाहरू र प्रभावित पीडितहरूसँग सञ्चार गर्न नयाँ स्थानीय पूर्वाधारहरू पनि प्रयोग गरे।
अन्य प्रविधिहरू
तिनीहरूले आन्तरिक राउटिङ कन्फिगरेसनहरू निर्धारण गर्न भर्चुअल मेसिनहरू सहित विभिन्न वातावरणहरूमा सुरक्षा प्रतिबन्धहरू बाइपास गर्न नयाँ TTP क्षमताहरू पनि प्रयोग गरे। प्रयोग गरिएको अर्को उपकरण नयाँ CEELOADER डाउनलोडर थियो। ह्याकरहरूले Microsoft Azure खाताहरूको सक्रिय डाइरेक्टरीहरू घुसाउन र प्रभावित पक्षका ग्राहकहरूको डाइरेक्टरीहरूमा पहुँच प्रदान गर्ने 'मास्टर कुञ्जीहरू' चोर्न पनि सफल भए। अन्तमा, ह्याकरहरूले स्मार्टफोनमा पुश सूचनाहरू प्रयोग गरेर बहु-कारक प्रमाणीकरणको दुरुपयोग गर्न व्यवस्थित गरे।
Mandiant अनुसन्धानकर्ताहरूले याद गरे कि ह्याकरहरू मुख्य रूपमा रूसको लागि महत्त्वपूर्ण डेटामा रुचि राख्छन्। थप रूपमा, केहि केसहरूमा डाटा चोरी भएको थियो कि ह्याकरहरूले अन्य पीडितहरूलाई आक्रमण गर्न नयाँ प्रवेशहरू दिनुपर्ने थियो।
नोबेलियम लगातार समस्या
प्रतिवेदनले नोबेलियमको आक्रमण चाँडै रोकिने छैन भन्ने निष्कर्ष निकालेको छ। अन्वेषकहरूका अनुसार, ह्याकरहरूले पीडितहरूको नेटवर्कमा लामो समयसम्म रहन, पत्ता लगाउनबाट बच्न र रिकभरी अपरेशनहरूलाई निराश पार्न आफ्नो आक्रमण प्रविधि र सीपहरू सुधार गर्न जारी राख्छन्।